Thomas Kramer
Thomas Kramer

Passkeys erklärt: Login ohne Passwort, und warum das besser ist

Thomas Kramer enthalten in IT
 700 Wörter (ungefähr) 4 Minuten 

Passwörter sind kaputt. Das wissen wir seit Jahren. Trotzdem tippen wir sie jeden Tag ein, vergessen sie regelmäßig und verwenden viel zu oft dasselbe. Passkeys sollen das ändern. Aber was steckt eigentlich dahinter?

Was ein Passkey ist

Ein Passwort ist etwas, das du weißt. Du tippst es ein, der Server prüft ob es stimmt. Das Problem: Wenn jemand dein Passwort kennt (durch Phishing, Datenleck oder Erraten), kommt er rein. Das Passwort ist das Geheimnis, und es liegt auf beiden Seiten.

Ein Passkey funktioniert anders. Er besteht aus zwei Teilen:

  • Etwas, das du hast (dein Gerät: Handy, Laptop oder ein physischer Security Key)
  • Etwas, das du bist (dein Fingerabdruck, dein Gesicht oder eine PIN)

Beim Einrichten erzeugt dein Gerät ein Schlüsselpaar: einen privaten und einen öffentlichen Schlüssel. Der öffentliche geht an den Dienst, bei dem du dich registrierst. Der private bleibt auf deinem Gerät und verlässt es nie.

Beim Login schickt der Dienst eine Aufgabe. Dein Gerät löst sie mit dem privaten Schlüssel. Der Dienst prüft die Lösung mit dem öffentlichen Schlüssel. Fertig. Kein Passwort eingegeben, kein Geheimnis übertragen.

Warum Passkeys sicherer sind

Kein Phishing möglich. Der Browser bindet den Passkey an die echte Domain. Eine gefälschte Seite bekommt keine gültige Signatur. Selbst wenn du auf einen Phishing-Link klickst, passiert nichts.

Kein Datenleck-Risiko. Bei einem Hack des Dienstes erbeutet der Angreifer nur den öffentlichen Schlüssel. Damit kann er nichts anfangen, weil er den privaten Schlüssel nicht hat.

Kein Wiederverwenden. Jeder Passkey ist automatisch einzigartig pro Dienst. Das Problem “gleiches Passwort für 20 Accounts” existiert nicht mehr.

Kein Raten. Es gibt nichts zu erraten. Brute-Force-Angriffe laufen ins Leere.

Wie fühlt sich das an?

Im Alltag ist ein Passkey-Login schneller als ein Passwort. Du öffnest die Seite, klickst auf “Anmelden”, legst den Finger auf den Sensor oder schaust in die Kamera. Das war’s. Kein Tippen, kein Suchen im Passwortmanager, kein TOTP-Code.

Die meisten großen Dienste unterstützen Passkeys inzwischen: Google, Apple, Microsoft, PayPal, GitHub, Amazon. Die Liste wächst ständig.

Was passiert, wenn ich mein Gerät verliere?

Das ist die häufigste und berechtigte Sorge. Wenn der private Schlüssel auf dem Gerät liegt und das Gerät weg ist, wie komme ich dann rein?

Die Antwort hängt davon ab, wie du deine Passkeys verwaltest:

Passwortmanager mit Sync. Dienste wie Proton Pass, 1Password oder Bitwarden synchronisieren Passkeys verschlüsselt über mehrere Geräte. Wenn dein Handy weg ist, hast du die Passkeys noch auf dem Laptop.

Apple/Google Ökosystem. Apple synchronisiert Passkeys über iCloud Keychain, Google über den Google Password Manager. Solange du Zugang zu deinem Apple- oder Google-Konto hast, sind deine Passkeys nicht verloren.

Physischer Security Key. Wer einen YubiKey oder ähnliches nutzt, sollte immer einen Backup-Key einrichten. Einen im Alltag, einen im Tresor.

Wichtig: Richte immer mindestens zwei Wege ein. Einen Passkey auf dem Handy und einen auf dem Laptop. Oder einen Passkey und einen Backup-Code. Wer nur einen einzigen Passkey auf einem einzigen Gerät hat, lebt gefährlich.

Die Sync-Frage

Passkeys sollten eigentlich gerätegebunden sein. Das war die ursprüngliche Idee. In der Praxis hat sich gezeigt: Wenn Nutzer bei jedem neuen Gerät alle Passkeys neu einrichten müssen, nutzt es niemand.

Deshalb gibt es inzwischen synchronisierte Passkeys. Die sind bequemer, aber es entsteht eine neue Abhängigkeit: Wer synchronisiert, vertraut dem Sync-Anbieter. Bei Apple ist das iCloud, bei Google die Google-Cloud, bei Proton deren Zero-Knowledge-Infrastruktur.

Für die meisten Nutzer ist synchronisierter Passkey trotzdem deutlich sicherer als jedes Passwort. Die theoretische Angriffsfläche durch den Sync-Anbieter ist um Größenordnungen kleiner als die praktische Angriffsfläche durch wiederverwendete Passwörter.

Was Passkeys nicht lösen

Passkeys sind kein Allheilmittel. Wenn dein Gerät kompromittiert ist (Trojaner, Root-Exploit), kann ein Angreifer den Passkey möglicherweise missbrauchen, solange er Zugriff auf das Gerät hat. Passkeys schützen vor Phishing und Credential-Diebstahl. Sie schützen nicht vor einem kompromittierten Endgerät.

Außerdem unterstützen noch nicht alle Dienste Passkeys. Für die Übergangszeit braucht man weiterhin einen guten Passwortmanager.

Meine Empfehlung

Wenn ein Dienst Passkeys anbietet, aktiviere sie. Jetzt. Nicht irgendwann. Jeder Account, der per Passkey gesichert ist, ist ein Account weniger, der durch Phishing oder Datenlecks kompromittiert werden kann.

Und wer wissen will, wie man Passkeys in einer eigenen Web-Anwendung implementiert: Dazu habe ich einen technischen Artikel mit Python und Flask geschrieben.

Quellen: Proton: Passkey vs. Password · FIDO Alliance

Aktualisiert am 02.04.2026 
CC BY-NC-SA 4.0
PasskeysSicherheitWebAuthnPasswörterFIDO2
Zurück | Startseite

Inhalt